通告 | “冰蝎3.0”来袭！天融信IPS、僵木蠕产品可遏制

天融信 2022-10-31

“冰蝎”是近几年比较流行的WebShell客户端，它可以通过建立加密隧道躲避安全设备的检测，是攻击者热衷使用的攻击工具。在众多数据窃取、网站勒索等攻击事件中，“冰蝎”都是核心帮凶，在近两年的攻防演练活动中也屡屡现身。

一

冰蝎3.0情况分析

近日发布的“冰蝎3.0”取消了动态密钥协商机制，使得现有安全设备对于新“冰蝎”的防护手段失效。本次发布版本的主要变化包括：

1.去除动态密钥协商机制，采用预共享密钥，全程无明文交互；

2.UI框架由awt改为javafx，重写了大量逻辑。

二

防护建议

已购买天融信入侵防御系统（TopIDP）的客户，可以升级攻击检测规则库进行有效防护。

已购买天融信僵尸网络木马和蠕虫监测与处置系统（TopTVD）的客户，可以升级攻击检测规则库进行有效检测。

规则TID：29416、29417，攻击检测规则库版本号：ngips-v2020.08.25.001；
下载地址：ftp://ftp.topsec.com.cn/天融信下一代入侵防御系统(NGIDP)/攻击检测规则库/ngips-v2020.08.25.001.tor

三

检测效果

天融信入侵防御系统（TopIDP）

天融信僵尸网络木马和蠕虫监测与处置系统（TopTVD）

四

产品咨询

您可以登陆天融信官网查询了解天融信入侵防御系统、天融信僵尸网络木马和蠕虫监测与处置系统，也可拨打客服热线400-777-0777进行产品咨询。

热·点·推·荐

规则TID：29416、29417，攻击检测规则库版本号：ips-v2020.08.25；